On Mon, 12 Aug 2002 18:04:51 +0200, Konrad Neitzel wrote:
--------------------- Received: from www.csu.de (stoiber.de) [213.183.5.65] by pu.schlittermann.de with esmtp (Exim 3.36 #3 (Debian)) id 17eEMd-0005AC-00 for lug-dd@schlittermann.de; Mon, 12 Aug 2002 14:32:04 +0200 ----------------------
Die gegebene Meldung "Received: from www.csu.de (stoiber.de) [213.183.5.65]" stammt von pu.
Richtig.
Und so wie pu hätte stoiber.de auch die IP des Absenders angeben können. So trivial ist das alles ...
Falsch. Kann er nicht. Die IP in den eckigen Klammer hat pu ermittelt. Nicht, indem er den im (E)HELO angegebenen Hostnamen per DNS auflöst sondern einfach die IP, von der aus die TCP-Verbindung reinkommt.
* stoiber.de ist der HELO String, Wenn im HELO nix angegeben wurde, läßt exim diese () ganz weg.
* 213.183.5.65 ist die IP, von der die Verbindung kam. Sie ist die einzige Angabe über den Sender, die exim immer in den Header schreibt.
* www.csu.de ist ist der PTR zu 213.183.5.65. Der Wert wird bei exim nur in den received-header geschrieben, wenn er anders als der HELO-String ist. Mailserver mit etwas Last haben diesen reverse lookup u.U. deaktiviert.
Die IP in den [] zu fälschen ist keinesfalls trivial. Dazu müsste jemand an der Strippe zwischen pu und 213.183.5.65 klemmen. Sie ist die einzige wirklich verwendbare Information zum Sender und wird allgemein als verläßlich zur Identifikation des Spammers angesehen.
Reinhard